OpenVPN Config - port share

NEWDS · 16. Apr 2015

Hallo,

ich habe in der OpenVPN Config (/usr/syno/etc/packages/VPNCenter/openvpn) einen Port Share angelegt,

Rich (BBCode):

proto tcp6-server
port 443
port-share 127.0.0.1 4545

dieser wird aber nach einem Neustart des VPN Servers durch

Rich (BBCode):

proto tcp6-server
port 443
port 443

ersetzt.

Wird die VPNConfig überschrieben oder mache ich was anderes falsch?

Anzeige · 16. Apr 2015

Hallo NEWDS,

Bücher und Hardware zum Thema gibt es bei Amazon: OpenVPN Config - port share

NEWDS · 26. Apr 2015

Hat keiner eine Idee?

Anders gefragt: Wo muss ich die OpenVPN Config ändern, damit diese gespeichert wird?

fpo4711 · 26. Apr 2015

Du bist mit deinen Modifikationen schon an der richtigen Stelle. Nur ist es so das die DS auf jeden Fall bei Änderungen in der GUI (und 100% bei Updates) hier Werte in der Config wieder überschreibt. Bequemlichkeit hat eben ihren Preis. Ohne das jetzt geprüft zu haben kann ich mir vorstellen, daß das Verhalten normal wäre. Wenn Du das schon geprüft hast ohne irgendwelche Änderungen in der GUI vorzunehmen. Also nur Start/Stop von OpenVPN mit der vorangegangenen Modifikation dann wirst Du wohl kein Glück haben. Hier hilft dann nur auf die GUI gänzlich zu verzichten und ein eigenes Start-Script zu schreiben. Das wird allerdings etwas schwieriger weil hier Synology, sofern ich das im Kopf habe, kein Script mehr für den Start verwendet und Du somit auf das Studium bei OpenVPN angewiesen bist.

Alternativ natürlich immer auch den Synology-Support anschreiben.Vielleicht haben die eine Lösung.

Gruß Frank

MaCoM · 27. Apr 2015

versuchs mal mit /usr/syno/etc/packages/VPNCenter/openvpn/ eine openvpn.conf.user anzulegen.
und deine eigene configuration darin ablegen.

NEWDS · 27. Apr 2015

MaCoM schrieb:
versuchs mal mit /usr/syno/etc/packages/VPNCenter/openvpn/ eine openvpn.conf.user anzulegen.
und deine eigene configuration darin ablegen.

Vielen Dank! Hat geklappt

Jetzt ist aber ein anderes Problem aufgetaucht.

Hier erstmal meine geänderte Konfiguration:

HTTPS Webserver: Port 443
OpenVPN: Port 1194
port-share 127.0.0.1 443
Router: Portweiterleitung 443 --> 1194

Wenn ich z.B. https://meineIP.de/photo aufrufe, komme ich weiterhin beim OpenVPN Server aus.

Hier ist mal der Log vom OpenVPN Server, vielleicht kann jemand mehr dazu sagen:

Mon Apr 27 17:26:22 2015 PORT SHARE PROXY: proxy starting
Mon Apr 27 17:26:57 2015 TCP connection established with [AF_INET6]::ffff:80.187.XX.XX:6604
Mon Apr 27 17:26:57 2015 ::ffff:80.187.XX.XX(6604) WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1544 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
Mon Apr 27 17:26:57 2015 ::ffff:80.187.XX.XX(6604) Connection reset, restarting [0]

fpo4711 · 27. Apr 2015

MaCoM schrieb:
versuchs mal mit /usr/syno/etc/packages/VPNCenter/openvpn/ eine openvpn.conf.user anzulegen.
und deine eigene configuration darin ablegen.

@MaCoM
Man lernt eben nie aus. Hab mir das Startsrcript mal auf einer Machine angeschaut. Es ist ja wohl so das die openvpn.conf.user wenn vorhanden die normale openvpn.conf ersetzt. Kann das nicht testen weil mir im Augenblick nur Produktivmachinen zur Verfügung stehen, deshalb hier mal die Frage an dich. Wird die openvpn.conf.user in keinster Weise von der GUI beeinflußt? Also auch nicht bei einem IP-Wechsel oder sonstigen EInstellungen in der GUI die die openvpn.conf betreffen. Und überlebt die openvpn.conf.user einen Neustart bzw. im besten Fall sogar ein Update?

Gruß Frank

NEWDS · 27. Apr 2015

Ich bin zwar nicht MaCoM, aber sobald man eine openvpn.conf.user erstellt wird die GUI deaktviert. Man kann nur noch den Server starten bzw. stoppen.

fpo4711 · 27. Apr 2015

NEWDS schrieb:
Ich bin zwar nicht MaCoM, aber sobald man eine openvpn.conf.user erstellt wird die GUI deaktviert. Man kann nur noch den Server starten bzw. stoppen.

Wollte dich damit nicht ignorieren

, dachte nur da MaCom das wußte, das er auch vielleicht schon ein Update hinter sich hatte.

Habe ich das richtig verstanden, das dann bei einer openvpn.conf.user (welche scheinbar ja auch die GUI erkennt) dann auch im gestopten Zustand die GUI-Felder bis auf den Haken für Start/Stop inaktiv (abgegraut) sind?

Gruß Frank

NEWDS · 27. Apr 2015

So ist es! Zwar wird das Feld mit dem Port und dem Protokoll nicht deaktiviert, dies hat aber keinen Einfluss auf die openvpn.conf.user.

fpo4711 · 27. Apr 2015

Danke

ottosykora · 27. Apr 2015

Darf ich was fragen?

Wozu wird so ein Portshare verwendet genau?

NEWDS · 27. Apr 2015

Immer

Mit einem Port-share ist es möglich z.B. OpenVPN Server und Webserver auf dem "gleichen" Port laufen zulassen (OpenVPN Server leitet einfach nicht OpenVPN Traffic weiter an den Webserver).
HTTP Proxy erlauben z.B. nur Verbindungen über den Port 80 und 443.
Somit bin ich gezwungen mit dem OpenVPN Server auf den Port 443 auszuweichen und kann weiterhin meinen Webserver betreiben

ottosykora · 27. Apr 2015

interessant! wusste ich nicht dass so was möglich ist.

Also nur damit es auch mir wirklich klar wird:

die beiden Server, Webserver und VPN server lauschen auf dem gleichen Port.

Du kannst dann von Remote her also Pakete Traffic auf deine IP senden, die sind alle an den Port 443 gerichtet aber die Server merken dann schon auf welchen Packet sie antworten sollen.

Ist das so etwa? Oder habe ich was falsch verstanden?

MaCoM · 28. Apr 2015

fpo4711 schrieb:
dachte nur da MaCom das wußte, das er auch vielleicht schon ein Update hinter sich hatte.

Ja das überlebt ein update.
auch ein VPN-Server Update.

NEWDS · 28. Apr 2015

ottosykora schrieb:
die beiden Server, Webserver und VPN server lauschen auf dem gleichen Port.

Du kannst dann von Remote her also Pakete Traffic auf deine IP senden, die sind alle an den Port 443 gerichtet aber die Server merken dann schon auf welchen Packet sie antworten sollen.

Ist das so etwa? Oder habe ich was falsch verstanden?

Nicht ganz! Alle Pakete landen am OpenVPN Server (Router: Portweiterleitung von 443 auf 1194) , handelt es sich um nicht VPN Traffic, wird dieser an den Webserver (läuft auf Port 443) weitergeleitet.

MMD* · 28. Apr 2015

Das ist nicht ganz so.

VPN muss horen auf port TCP 443 und die port-share wird weiterleiten auf z.b. port 4545 wo der webserver zuhort.

ottosykora · 29. Apr 2015

OK danke, habe es glaube ich verstanden, der VPN Server erkennt jedenfalls was ihm nicht gehört und kann es dann an den richtigen Empfänger durchleiten

MMD* · 29. Apr 2015

So ist es.

ottosykora · 29. Apr 2015

noch Frage: ist es nur eine sehr besondere Funktion von dem OpenVPN Server oder haben auch andere Server solche versteckte Features?

Wird so was noch woanders, ich meine ausserhalb Syno Welt verwendet?